@NewtonProtocol Каждый раз, когда в новостях появляется крупный криптоэксплойт, я замечаю, что обсуждение обычно следует одному и тому же шаблону. Люди сразу же хотят узнать, кто контролировал кошелёк, какой приватный ключ был использован или как атакующему удалось подписать транзакцию. Эти вопросы понятны, но мне кажется, что они заостряются лишь на части более широкой картины. Независимо от того, связан ли инцидент с мостом, биржей или DeFi-протоколом, блокчейн обычно ведёт себя ровно так, как он и был задуман. Он проверяет подпись, подтверждает, что транзакция действительна, достигает консенсуса и обрабатывает запрос. С точки зрения сети ничего не пошло не так. Она просто следовала тем правилам, которые ей дали.
Чем больше я об этом думаю, тем больше я убеждаюсь, что здесь многие неправильно понимают безопасность блокчейна. Цифровая подпись отлично подходит для доказательства владения и подтверждения того, что правильный ключ санкционировал действие. Но она не может определить, действительно ли это действие уместно. Она не знает, нарушает ли передача внутреннюю политику организации, превышает ли она порог риска, противоречит ли требованиям комплаенса или создает ненужную финансовую уязвимость. Блокчейн не создан для принятия таких решений. Его задача — выполнять корректные инструкции, а не выяснять их смысл.
Это различие становится все более важным, поскольку технология блокчейна выходит за пределы розничной торговли. Сегодня децентрализованные финансы выполняют гораздо больше, чем просто обмен токенов. Стейблкоины, токенизированные реальные активы, институциональные портфели, казначейские операции и автономные программные агенты становятся частью одной экосистемы. По мере того как стоимость, «запертая» в сети, продолжает расти, полагаться только на аутентификацию становится менее практично. Подтверждение того, кто инициировал транзакцию, полезно, но защита миллиардов долларов требует еще одного уровня — который определяет, следует ли разрешить транзакцию до того, как какие-либо активы фактически начнут перемещаться.
Традиционные финансовые системы признавали эту проблему много лет назад. Когда кто-то оплачивает банковской картой, одобрение основано не только на том, является ли карта подлинной. За каждой успешной оплатой несколько систем незаметно оценивают транзакцию. Они учитывают признаки мошенничества, модели расходов, репутацию торговой точки, лимиты транзакций, обязательства по соблюдению требований и другие сигналы риска, прежде чем будет дано разрешение. Одной идентичности никогда недостаточно для окончательного решения. Именно авторизация в конечном итоге определяет, продолжится ли платеж.
Поэтому мне особенно интересно, как устроен подход в протоколе Newton. Вместо того чтобы концентрироваться только на мониторинге активности после расчета, он добавляет уровень авторизации, который оценивает транзакции до выполнения. Каждый запрос можно проверять по программируемым политикам, включающим в себя проверку личности, требования к правомочности, нормативное соответствие, скрининг санкций, сведения по безопасности, лимиты по рычагу, условия оракула и риск контрагента. Вместо простого сообщения о подозрительном поведении уже после того, как активы перешли из рук в руки, протокол предоставляет on-chain результат авторизации — он показывает, были ли выполнены заранее заданные условия до начала расчетов.
Я думаю, что это отражает существенное изменение в том, как может развиваться инфраструктура блокчейна. Системы мониторинга ценны, потому что они объясняют, что уже произошло, но обычно они работают после того, как нанесенный ущерб уже случился. Авторизация решает задачу другого типа. Она влияет на исход еще до того, как выполнение произойдет. Одна фиксирует исторические события, а другая активно снижает вероятность предотвратимых ошибок или несанкционированной активности.
Технология блокчейна уже доказала, что она способна выполнять финансовые транзакции без опоры на централизованных посредников. Следующий этап инноваций может быть не о том, чтобы делать транзакции быстрее или дешевле. Возможно, речь будет о том, чтобы сделать их более «умными» с помощью программируемых политик, которые балансируют децентрализацию и практичное управление рисками. Если это направление продолжится, самый важный вопрос в on-chain финансах может больше не быть тем, кто подписал транзакцию. Вместо этого он может свестись к тому, соответствовала ли эта транзакция всем условиям, необходимым для того, чтобы вообще получить право на выполнение.

